近期,网络上曝出有数百名开发人员的Git仓库被黑客勒索,源码被删除,只留下勒索信息。
和Git有关的GitHub、Bitbucket和GitLab平台都受到了影响。目前还无法百分百确定攻击是如何发生的。
黑客把受害者Git仓库中的代码和文件删除后,留下了“支付0.1比特币”的勒索信息,并且声称所有的源代码都已转移到自已所拥有的服务器中,若在十天内不支付赎金,则会公开代码。
如果想恢复丢失的代码,那就把0.1比特币(BTC)发送到我们的比特币地址ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并通过电子邮件admin@gitsbackup.com联系我们,把你的Git帐户和付款证明发送给我们。如果你不确定我们是否拥有你的数据,请与我们联系,我们将向你证明。你的所有代码都已下载到我们的服务器上。如果在接下来的10天内没有收到你的付款,我们会将公开你的代码或另作他用。
上述勒索信息中的收款地址为ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,截至文章完成时,该地址尚未收到任何赎金。
受害者数以百计
据GitHub搜索的结果,到目前为止,至少有392个GitHub仓库被勒索。
而cnbeta公布的信息称,微软也未能幸免。微软确认其开源开发平台也被黑客勒索,黑客删除了微软的392个代码仓库。
安全研究人员在BitcoinAbuse.com上发现(一个用于跟踪比特币钱包地址的网站),该地址涉及27起恶意事件。所有恶意事件中都包含相同的勒索信息,可以判断该地址是专门用于Git勒索攻击中。
一些受害者已经承认他们的GitHub,GitLab和Bitbucket帐户使用了弱密码,而且还忘记删除他们几个月没用过的旧应用的访问令牌——这两种情况在各种网络攻击中都很常见。
但是,有证据表明,此次攻击是因为黑客扫描了整个互联网上的Git配置文件,提取了登录凭据,然后尝试登录这些Git服务并进行勒索。
在和ZDNet通信的邮件中,GitLab安全总监Kathy Wang承认,扫描凭据是这些帐户沦陷的根本原因。
我们根据Stefan Gabos提交的证据确定了攻击原因,并立即开始调查此情况。我们已确定了受影响的帐户,并已通知了相关用户。根据我们的调查结果,被攻击帐户的密码均以明文形式存储在仓库的部署文件中。我们强烈建议用更安全的方式存储密码,例如使用密码管理器,并尽量启用双因素验证。
拥有Bitbucket的Atlassian没有对此事件作出回应,但他们也开始向客户发出警报,通知那些疑似被攻击的用户以及无法正常登录的用户。
恢复方法
好消息是,在研究受害者的情况后,StackExchange安全论坛的成员发现黑客实际上并没有彻底删除代码,仅仅改变了Git提交头,这意味着在某些情况下可以恢复代码。
如果想了解详细的仓库恢复说明可以点击这里。
在推特上,很多开发者社区的管理者呼吁受害者在支付任何勒索赎金前一定要联系GitHub,GitLab或Bitbucket的技术支持团队,因为可能有其他方法恢复已删除的代码。
虽然目前攻击者还没有收到赎金,但是代码的泄露很可能对某个特定的组织团队产生深远的影响。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/